Legyen publikus DNS szerverünk? II.
2004/10/18 14:11
2280 megtekintés
A cikk már legalább egy éve nem frissült, az akkor még aktuális információk lehet, hogy mára elavultak.
A Sulinet/Közháló váltás kapcsán többekben is felmerülhet a saját sulinetes DNS zóna önálló karbantartása, azaz kézbevétele. Merthogy van erre lehetőség a Sulinet után a Közhálóban is.

A cikk előző részében vázolt problémát maximum úgy lehetne megoldani, hogy a lenti ábrán látható módon felvesszük a zónába a további alias-okat (pl. www1, ftp1, stb.) amelyek az adott szerver belső IP-jére mutatnak, és közöljük a felhasználóinkkal, hogy belülről ezeket használják a böngészéskor, vagy a levelezőprogram beállításakor. Sajnos, ettől még a vegyes IP cím publikálás továbbra is megmarad mint probléma, így ez az út nem igazán javasolt. Az előző cikkben kiderült, hogy az azonos privát és publikus DNS zónanév használata (non-split) ugyanazon a kiszolgálón teljesen tökéletesen járható út. Viszont mi a helyzet az ún. split DNS-sel? Ez a technika már használható lenne ebben az esetben is, de míg bizonyos operációs rendszerek alatt elérhető alapból, Windows platformon a beépztett eszközökkel nem. Ugyanis ehhez két egyidejűleg futó DNS szerver szükséges, mivel eggyel nem lehetséges két azonos nevű zónát létrehozni. Ezt elvileg meg lehetne oldani egy külső gyártótól származó DNS szerverrel, de ezek többnyire pénzbe kerültek, ezenkívül nekem nem sikerült épkézláb megoldást összehozni, mert mindegyikkel volt valami probléma... Ha sikerül, akkor igy kellene kinéznie a két zónának.

Persze az is igaz, hogyha a két zónanév különböző, akkor működhet a dolog, bár ekkor némi gondot okoz az, hogy mindkét hálózati kártyán meg kell engednünk a DNS szerver működést, amitől kicsit borzongok, de végülis működik. Némiképp áthidaló megoldás az viszont, ha előre gondolkozunk. Konkrétan arról van szó, hogy a leendő tartomány telepítése (azaz az első DC telepítése előtt) eldöntjük, hogy a külsőnek is hasznalható zónanevet meghagyjuk (pl. tjszki.hu) és ez alá készítjük el a belső AD névterét, azaz a tartományunk neve pl. ad.tjszki.hu lesz. Ekkor a tjszki.hu zónát kifelé használjuk az ad.tjszki.hu alzónát pedig bentről, így nem fog összeakadni a kettő. Azonban akárhogy is ügyeskedünk egy a vége: nem okos dolog egy szerveren hagyni a két zónát, kell még egy szerver (ez mondjuk egyéb okokból is így van egy Windows 2000/2003 tartomány esetén).

2. Belső és külső DNS, belső az ISA mögött, külső az ISA-n (mert legalább 2 szerverünk van)

Ez az igazi korrekt és biztonságos felállás. Az ISA-n lévő szerverünk a publikus DNS szerver, míg a belső tartományvezérlőn elhelyezett DNS a Windows tartomány DNS névfeloldását végzi. Nézzük, mely kritériumok mentén, melyek a feladataink a két DNS szerverrel kapcsolatban:

Közös előnyök

  • Lehet ugyanaz a tartománynév gond nélkül. A belső DNS szerverbe ugyanúgy fel lehet venni a ugyanazokat a CNAME rekordokat mint a külsőbe, persze belső címmel. Ez azért lehetséges mert a két DNS szerver nem fogja "ütni" egymást sohasem.

A Belső (privát) DNS szerverrel kapcsolatos teendők

  • Ha több hálókártya van, mérlegeljünk, hogy kell-e hogy fusson mind1gyiken a DNS szerver. Ha eldöntöttük, akkor a DNS MMC-ben az "Interfaces" fülön állítsuk be a szükséges kártyákat és töröljük a feleslegest.
  • Mihez kezdjünk a belső kliensek internet felé irányuló névfeloldási kérelmeivel? Egyszerű az eset, a DNS MMC-ben a "Forwarders" fülön állítsuk be saját publikus DNS-ünket, azaz az ISA külső lábát. Beállíthatnánk a a sulinetes/közhálós DNS szerverek is, de így esetenként gyorsabb a feloldás.
  • A zónaátvitellel (DNS MMC: a zóna tulajdonságai/Zone Transfers) kapcsolatban csak annyi kell megemlíteni, hogy ha 1 db tartományvezérlőnk van, akkor mindenképpen tiltsuk le (a reverse zónánál is). Ha több van és ezek küzöl van másodalgos (secondary) DNS szerver, akkor engedélyezzük neki.

A Külső (publikus) DNS szerverrel kapcsolatos teendők

  • A DNS MMC-ben az Interfaces fülön: csak és kizárólag a külső hálókártya címe!
  • DNS MMC: Forwarders > a külső (sulinetes/közhálós) DNS szerverek
  • DNS MMC: Zone Transfers engedélyezve, de csak a használt névszervereknek (azaz a mi publikus másodlagos DNS szerverünknek)
  • ISA: Extensions > Application Filters > DNS intrusion detection filter: az utolsó kettő támadási forma bepipálva

A publikus DNS szerverrel kapcsolatos további teendőkről, a zóna létrehozásáról és biztonságos beállításáról valamint az ISA alatti viselkedéséről a következő részben lesz szó.

Csatlakozz hozzánk!

Ajánljuk

European Schoolnet Academy Ingyenes online tanfolyamok tanároknak
School Education Gateway Ingyenes tanfolyamok és sok más tanárok számára
ENABLE program Program iskoláknak a bullying ellen
Jövő osztályterme Modern tanulási környezetekről a Sulineten